Laika gaitā, kad mums ir aktīva vietne, izmantojot Nginx mēs novērojam kādu dīvainu uzvedību no dažām IP adresēm, parasti šīs adreses pieder roboti vai ļaunprātīgi aģenti kas uzbrūk mūsu dienestam.
Lai gan mēs esam redzējuši, kā bloķēt piekļuvi un trafiku, izmantojot GeoIP modulis, ir arī vienkāršāks un tiešāks veids, kā veikt šāda veida slēdzenes, pateicoties tam, ja mums nav GeoIP modulis mēs varam izveidot labu noteikumu kopumu, kas ļauj regulēt piekļuvi mūsu vietnei.
Melnais saraksts
Servera administrēšana nozīmē, ka mums ir noteiktas politikas, kas garantē mūsu datu drošību, ne tikai nodrošinot pareizu mūsu resursu darbību, bet šķērslis, ar kuru mēs saskaramies, ir uzbrukumi un plašas konsultācijas. roboti, pētnieku skripti vai pat ļaunprātīgi aģenti.
Iepriekš minēto iemeslu dēļ mums ir jāpārvalda melnais saraksts, kas mums ļauj bloķēt IP adreses mēs zinām, ka tās ir strukturētas un neattiecas uz dabisko datplūsmu mūsu vietnēs, kuras apkalpo Nginx.
Lai izveidotu šos melnos sarakstus, mēs varam bloķēt pēc IP vai pēc IP adrešu kopas, tādā veidā mēs varam nedaudz atvieglot situāciju un attīstīt veselīgāku pakalpojumu.
Kā izveidot melno sarakstu?
Lai izveidotu melno sarakstu, mums ir jāizmanto noteikumi noliegt Y Atļaut lai mēs varētu norādīt bloķējamo IP diapazonus vai vienkārši ievietot konkrētas adreses, tas jādara ļoti rūpīgi, jo, ja pareizi neievietojam noteikumu, mēs varam bloķēt vairāk lietotāju, nekā vēlas.
Tālāk redzamajā attēlā redzēsim parauga kodu, kā veikt pamata konfigurāciju piekļuves bloķēšana:
Kodā mēs redzam, kā mēs to izmantojam noliegt lai norādītu konkrētu IP un pēc tam ar atļauju mēs norādītu adrešu diapazonu, izmantojot apakšmaska / 24, Šis piemērs tiek plaši izmantots, ja mēs segmentējam pakalpojumu vietējā tīklā, lai nodaļa nevarētu izveidot savienojumu ar tās mitināto pakalpojumu Nginx.
SvarīgsVēl viens aspekts, ko mēs varam apvienot, lietojot šāda veida slēdzenes, ir zināt, kāda kļūda mums būtu jāmet, piemēram, ja bloķējam iespējamos uzbrukumus, vislabāk ir iemest kļūdu 404 lapa nav atrasta lai nestimulētu spēcīgāku uzbrukumu, ja uzbrucējs zina, ka viņiem tiek liegta ieeja, bet vietējā tīkla vidē, iespējams, ideālākais ir tas, ka mēs norādām ar 403, kas piekļūst ierobežotai zonai.
Lai pabeigtu šo apmācību, mēs redzam, ka šāda veida bloķēšanas veikšana ir ļoti vienkārša un mēs neesam atkarīgi no citiem moduļiem, pateicoties tam, izmantojot standarta vai samazinātu instalāciju Nginx mēs varēsim īstenot mūsu drošības politiku.
Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu